クラウドネイティブセキュリティモデルと実践

従来の研究開発では、コードセキュリティ、マシン（動作環境）セキュリティ、ネットワーク運用・保守セキュリティなどの「セキュリティ」に注目することが多いです。クラウドネイティブ時代の到来により、依然として元の次元に従って分割すると、クラウドネイティブ環境によってもたらされる多くの新しい課題を無視することは明らかに簡単です。私たちは、ネットワーク セキュリティのベスト プラクティスである徹底的な防御の原則に基づいて「クラウド ネイティブ セキュリティ」を徐々に分析し、さまざまなレベルの防御方法をある程度理解して、独自のクラウド ネイティブ セキュリティの概念を確立し、真にカーネル セキュリティを備えたクラウド ネイティブ システムを構築する必要があります。

[[342736]]

IDaaS システムを例にとると、クラウド ネイティブ システムのセキュリティ モデルは、次の図に示すように、外側から内側に向​​かって、クラウド/データ センター/ネットワーク層、クラスター層、コンテナ層、コード層の 4 つの層に分割されます。

ここでのセキュリティ モデルの各レイヤーは、外側のレイヤーに一方向に依存しています。つまり、クラウド、クラスター、コンテナの外側の層のセキュリティが適切に行われれば、コード層のセキュリティも向上します。逆に言えば、コード層のセキュリティを向上させることで、外側の層のセキュリティの脆弱性や問題を補うことはできません。上記の原則に基づき、当社の多層防御戦略は「外側から内側へ防御する」というものです。

1. クラウド/データセンター/ネットワーク層セキュリティ

このレイヤーはインフラストラクチャ セキュリティとも呼ばれます。どのような観点から見ても、パブリック クラウド、プライベート クラウド、エンタープライズ データ センター、および対応するネットワーク セキュリティは、K8s クラスターの最も基本的なセキュリティ基盤です。セキュリティ上の脆弱性があったり、脆弱性が高すぎる場合、システム全体でコンポーネントのセキュリティを保証することはできません。

ARP スプーフィング、DDOS、さまざまなネットワーク層メッセージ攻撃などの従来の攻撃に対する防御に加えて、Kubernetes クラスターに対して次の保護対策を講じる必要があります。

• インターネット上では Kubernetes 管理プラットフォーム (コントロール プレーン) へのすべてのパブリック アクセスは許可されておらず、一部の信頼できる IP アドレスのみが Kubernetes 管理 API にアクセスできます。
• すべてのノードは、管理プラットフォームへの内部ポートや、NodePort および LoadBalancer タイプの Kubernetes サービスからの接続など、指定されたポートのみを公開し、インターネットに直接公開してはなりません。
• クラウド プロバイダーまたはコンピュータ ルームのネットワーク層セキュリティ グループ (AWS セキュリティ グループなど) を通じて、管理プラットフォームとノードに最小限の権限制御を付与します。

• etcd (Kubernetes の基本ストレージ) へのアクセスは厳密に制御され (クラスター管理プラットフォームからのみアクセス可能)、すべての接続は TLS を使用するように強制され、すべての情報は永続層で暗号化される (保存時の暗号化) 必要があります。

2. クラスターレイヤー

Kubernetes クラスターを保護する際に重点を置くべき領域は主に 2 つあります。

• クラスターとコンポーネント
• サービスまたはアプリケーションの実行

Kubernetes クラスターのコンポーネントとサービスまたはアプリケーションを保護します。

これら 2 つのエンティティを保護するために、次の図に示すように、管理 API のアクセス制御、Kubelet のアクセス制御、ランタイム ワークロードまたはユーザー機能のアクセス制御、クラスター コンポーネントのセキュリティ脆弱性保護という 4 つの主要部分に分けることができます。

（１）管理APIアクセス制御

• トランスポート層を保護するためにTLSを強制する
• 必須API認証
• API 認証メカニズム (RBAC) の適用

（２）Kubeletアクセス制御

• 実稼働環境で認証を有効にする
• アイデンティティ認証 (RBAC)
• トランスポート層を保護するためにTLSを強制する

（３）ランタイムワークロードまたはユーザー機能のアクセス制御

• 特権コンテナの使用を制限する
• リソース負荷を合理的に制限する
• 不要なカーネルモジュールの読み込みを防止する
• ポッドによる他のノードへの不正アクセスを制限する
• 基本データ認証情報のアクセス制御

（4）クラスタコンポーネントのセキュリティ脆弱性保護

• etcdへの不正アクセスを禁止する
• 監査ログを有効にする
• インフラストラクチャの資格情報を定期的にローテーションする
• 脆弱性を修正するための定期的なアップデート

3. コンテナ層

このレベルでは、Kubernetes の機能とはあまり関係がないため、一般的なセキュリティ対策と提案をいくつか提供できます。

4. コード層

プログラム コード層は攻撃に対して最も脆弱ですが、最も制御しやすい部分の 1 つでもあります。この分野のセキュリティ担当者は、必ずしも運用開発者 (DevOps) ではなく、専門のセキュリティ エンジニア (Sec Eng) である場合もありますが、相互に借りることができる基本的な共通の概念や提案がいくつかあります。

一般的に、クラウドネイティブ時代の 4 層アーキテクチャ (クラウド/データセンター/ネットワーク層、クラスター層、コンテナ層、コード層) は、従来のアーキテクチャよりも詳細で脆弱です。多層防御を成功させるには、外部から内部まですべてのレイヤーでセキュリティのベスト プラクティスを実装する必要があります。クラウド ネイティブ テクノロジーのメリットを長期的に享受したいすべてのチームが、この点について合意する必要があります。

参考文献:

• https://baike.baidu.com/item/%E7%BA%B5%E6%B7%B1%E9%98%B2%E5%BE%A1/8282191?fr=aladdin
• https://kubernetes.io/docs/concepts/security/overview/
• https://www.stackrox.com/post/2020/09/protecting-against-kubernetes-threats-chapter-8-larate-movement/